Doppelt hält besser: Neue TAN-Verfahren beim Online-Banking

Mit der sogenannten Zwei-Faktor-Authentifizierung, die ab sofort verpflichtend ist, soll der Missbrauch im digitalen Zahlungsverkehr eingedämmt werden. Ob ChipTAN, PhotoTAN oder PushTAN - Verbraucher können zwischen mehreren TAN-Verfahren wählen.

TAN-Verfahren: Mann überweist Rechnungen beim Online-Banking

Das Wichtigste in Kürze

  1. Seit 14. September 2019 gelten in der Europäischen Union neue Sicherheitsvorgaben fürs Online-Banking. TAN-Listen auf Papier dürfen dann nicht mehr genutzt werden.
  2. Die meisten Banken und Sparkassen haben ihre Authentifizierungsverfahren bereits seit Monaten umgestellt.
  3. Viele Kreditinstitute setzen auf eigene Smartphone-Apps für die TAN-Verfahren. Verbraucher, die kein Smartphone besitzen, können nur auf TAN-Generatoren oder SMS ausweichen.
Stand: 14.09.2019

Ab sofort können Sie als Bankkunde Online-Überweisungen nur noch mit einer starken Kundenauthentifizierung freigeben. Was das bedeutet? Bei jedem Zahlungsauftrag und jedem Login ins Online-Banking-Portal müssen mindestens zwei voneinander unabhängige Sicherheitsmerkmale, sogenannte Faktoren zum Einsatz kommen müssen. Es reicht also nicht mehr, die alte TAN-Liste hervorzukramen. Das Ganze nennt sich Zwei-Faktor-Authentifizierung. Mögliche Faktoren sind:

  • Sein – körperliche, „biometrische“ Merkmale, wie Fingerabdruck oder Augeniris
  • Wissen – zum Beispiel die ausschließlich dem Kunden bekannte PIN (persönliche Identifikationsnummer) oder ein Passwort
  • Besitz – etwas, das nur der Kunde besitzt und das nicht kopiert werden kann, wie zum Beispiel ein Smartphone oder ein Tan-Generator (Transaktionsnummer)

Neue TAN-Verfahren statt TAN-Listen auf Papier

Laut Zweiter Zahlungsdienste-Richtlinie (kurz: PSD II) ist die Verwendung der alten iTAN-Listen auf Papier seit Mitte September nicht mehr ausreichend sicher und deshalb nicht mehr zulässig ist. Erlaubt sind nur noch TAN-Verfahren, bei denen für jede Transaktion jeweils eine TAN neu generiert wird. 

TAN-Verfahren

Sicherheit

ChipTan (oder Smart-Tan) mit Tan-Generator (Lesegerät)

Sehr hoch

BestSign (mit Zusatzgerät)

Sehr hoch (mit Zusatzgerät von Postbank)

Hoch (mit Postbank-App auf Smartphone)

PhotoTan (mit Lesegerät)

Sehr hoch (mit Lesegerät)

Hoch (mit PhotoTan-App auf Smartphone)

QR-Tan (oder QR-Tan+)

Sehr hoch (mit QR-Tan-App auf Smartphone)

App-Tan (oder VR-SecureGo, EasyTan, Tan2go, PushTan, SpardaSecureApp)

Hoch (mit PushTan-App auf Smartphone)

SMS-Tan (oder MobileTan, mTan)

Mittel (per SMS über das Handy)

Wichtig: Damit die neuen Verfahren auch wirklich sicherer sind, benötigen Sie immer zwei Geräte, zum Beispiel PC und Smartphone, Smartphone und TAN-Generator...  Wickeln Sie Ihr Online-Banking übers Smartphone ab und generieren damit per App auch PhotoTan oder QR-Tan, macht dies die Vorteile der Zwei-Faktor-Authentifizierung zunichte.

Bei der Stiftung Warentest lesen Sie mehr über die verschiedenen TAN-Verfahren – wie sie funktionieren, was sie brauchen und wie sicher sie sind. Weiterlesen auf test.de

Gut zu wissen

Beim Authentifizierungsverfahren setzt jede Bank setzt auf ein anderes Modell. So können sich Verbraucher kaum einen Überblick verschaffen. Manche Banken schaffen bewährte Verfahren im Zuge der Umstellung auch einfach ab, weil sie unsicherer sein sollen als eine App, so zum Beispiel die Postbank die m-TAN per SMS. 

Mögliche Zusatzgeräte bzw. TAN-Generatoren erhalten Sie bei Ihrer Bank oder bei Elektronikhändlern. Achtung, durch die Nutzung der angebotenen Sicherheitsverfahren können Ihnen Mehrkosten entstehen – zum Beispiel für jede SMS-TAN oder für einen TAN-Generator.

Online-Shopping mit Kreditkarte

Die Vorgaben zur starken Kundenauthentifizierung sollen zukünftig auch für Kreditkartenzahlungen beim Online-Shopping gelten. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer ist dann nicht mehr ausreichend. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.

Ab wann diese Vorgaben verbindlich greifen, wird die Bundesanstalt für die Finanzdienstleistungsaufsicht (BaFin) noch mitteilen. Weiterlesen auf bafin.de

Bücher und Broschüren